Проблема была обнаружена в Biztalk360 до 11.5. из-за неправильной обработки введенных пользователем данных в пути, который должен быть прочитан сервером, злоумышленник с привилегированным пользователем может читать файлы в системе и/или принудительно проходить аутентификацию со стороны службы, то есть обход каталога.
Показать оригинальное описание (EN)
An issue was discovered in Biztalk360 through 11.5. because of mishandling of user-provided input in a path to be read by the server, a Super User attacker is able to read files on the system and/or coerce an authentication from the service, aka Directory Traversal.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Kovai Biztalk360
cpe:2.3:a:kovai:biztalk360:*:*:*:*:*:*:*:*
|
— |
11.6.3963.2611
|